BDrive Sicherheit und Kryptokonzept
1. Kryptokonzept zu BDrive
2. die Domain, unter der die BDrive-Server erreichbar sind
3. eine Liste aller TLS-Versionen vom BDrive-Server aktuell angenommen/unterstützt werden
4. eine Liste bereits geschlossener Sicherheitslücken in BDrive, inklusive Kategorisierung, Beschreibung und Kritikalität. Alternativ ein Sicherheitsaudit mit diesen geschlossenen Sicherheitslücken, seit Inbetriebnahme des Dienstes. (Noch offene Sicherheitslücken können geschwärzt werden, sofern sie enthalten sind.)
5. eine Liste durchgeführter externer Sicherheitsaudits von BDrive seit Inbetriebnahme (inklusive Datum)
6. eine Liste der aktuell verwendeten „Anbietern von Cloud-Speichern” in Form von Unternehmens-/Dienstenamen (vgl. Punkt 7.4/Seite 12 des Sicherheits-Whitepapers)
HIntergrund ist, dass Sie in dem Sicherheits-Whitepaper zu BDrive [1] auf Seite 4 davon sprechen, dass „alle kryptographischen Verfahren in einem Kryptokonzept beschrieben [sind]” sowie die Aussage, dass nur eine einzige Ciphersuite [2] für TLS benutzt wird, wobei nur eine für TLS 1.2 angegeben ist und keine für TLS 1.3 (Seite 9 im benannten Dokument).
Bzgl. der Sicherheitslücken/Sicherheitsaudits verweise ich auf Punkt 6.4 (Seite 11 f.).
Nebenbei sei angemerkt, dass das Dokument etwas veraltet erscheint. Mehrfach wird auf die Zukunft verwiesen und davon gesprochen, dass 2018 bestimmte Dinge angestrebt werden sollen. (macOS App und SEAL-3-Zertifizierung)
[1] https://www.bundesdruckerei.de/de/loesungen/Bdrive#Downloads
[2] https://ciphersuite.info/cs/TLS_DHE_RSA_WITH_AES_256_CBC_SHA256/
Anfrage abgelehnt
-
Datum27. Oktober 2020
-
1. Dezember 2020
-
Ein:e Follower:in
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!